CN101442749B - 基于wapi的无线网状网的认证方法 - Google Patents
基于wapi的无线网状网的认证方法 Download PDFInfo
- Publication number
- CN101442749B CN101442749B CN200810220005XA CN200810220005A CN101442749B CN 101442749 B CN101442749 B CN 101442749B CN 200810220005X A CN200810220005X A CN 200810220005XA CN 200810220005 A CN200810220005 A CN 200810220005A CN 101442749 B CN101442749 B CN 101442749B
- Authority
- CN
- China
- Prior art keywords
- mpp
- map
- gateway
- website
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种基于WAPI的无线网状网的认证方法,其在站点、MPP和鉴别认证服务器间或者MAP、MPP与鉴别认证服务器间和站点、MAP与鉴别认证服务器间进行证书鉴别,在站点与MPP之间或者MAP与MPP之间和站点与MAP之间建立共享密钥。本发明将WAPI与无线网状网实现有机的结合,由鉴别认证服务器统一实现集中式管理,站点或者MAP、MPP以及鉴别认证服务器可以通过三元认证过程完成对站点的证书鉴别过程、建立共享密钥,从而可以根据该共享密钥完成数据通信,实现通信过程的安全性。此外,本发明仅在站点或者MAP以及网关MPP处进行加密解密过程,而不对MP节点进行鉴别认证,传输延时少,认证速度快。
Description
技术领域
本发明涉及移动通信领域,特别涉及一种无线网状网中的认证方法。
背景技术
网络通信技术的日益发展为人们可以自由地获得网络资源提供了便利,然而,这种自由获取网络资源的方式,对安全性提出了更高的要求,安全性保障的缺失将使得网络非法操作的易于实施并进而影响上层通信内容的安全,影响用户的使用权益。
WAPI(Wide Authentication and Privacy Infrastructure,泛适认证和保密基础结构)是一种实现通信节点和网络承载节点之间的双向认证以及保密的、适用于主流网络物理拓扑形态的安全体系架构,是针对目前无线局域网国际标准中存在的各种安全缺陷、并充分考虑和兼顾无线局域网产品互通的基础上提出的安全性技术解决方案和规范要求,其不仅具有高效的安全鉴别机制、灵活的密钥管理技术,而且可以实现整个基础网络的集中用户管理,从而满足更多用户和更复杂的安全性要求,是一种普遍适用型的安全架构体制。
WAPI由WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构)组成,WAI负责对用户进行身份鉴别,是实现WAPI的基础,WPI负责对对传输数据进行加密处理。WAPI由于真正实现了双向鉴别、鉴别过程简单易行、构建和扩展应用便利等特点,在无线局域网中得到了广泛应用。
在WAPI的应用中,由公信第三方(鉴别认证服务器AS)统一为各移动终端和无线接入点颁发证书,移动终端与无线接入点之间根据AS所颁发的证书验证对方的合法性,不仅无线接入点可以验证移动终端的合法性,移动终端也可以验证无线接入点的合法性,以确保安全性。
无线网状网(Wireless Mesh Network,WMN)是一种多跳、具有自组织和 自愈特点的宽带无线网络结构,是一种高容量、高速率的分布式网络,与传统的无线网络不同,其结合了WLAN(单跳)和移动Ad hoc网络(多跳)的优点、且充分发挥了两者的优势的新型网络结构形态。
参见图1所示,是无线网状网的网络结构示意图,其一般包括有三类节点:一类为仅支持网状互联的MP(Mesh point,Mesh节点),一类为支持网状互联和接入站点的MAP(Mesh Access Point),还有一类为支持网状互联和与外网互通的网关节点MPP(Mesh Point with a Portal)。
由于无线网状网是一种分布式的网络,没有中心点,且其各无线接入点之间是通过无线相互连接的,是一种松散的连接关系,加上客户节点一般具有移动性,使得其极易遭受其他恶意节点的干扰、窃听,影响网络通信安全,使得安全问题成为制约无线网状网大规模实施的问题之一。
尽管应用于无线局域网中的WAPI具有良好的安全特性,然而,由于无线局域网是在站点接入无线接入点后,由无线接入点直接通过有线方式连接到鉴别认证服务器,在通过WAPI进行安全鉴别时,是直接进行站点、无线接入点以及鉴别认证服务器之间的三元认证过程,而无线网状网的网络架构明显要比无线局域网复杂得多,不仅具有接入站点的MAP、支持网状互联和与外网互通的网关节点MPP、还具有实现网状互联的MP,在具体通信时,一次的数据传输需要通过多个不同的节点,从而无法直接应用上述的三元认证过程,无法将应用到无线局域网的WAPI直接移植应用于无线网状网中,若能够将WAPI应用于无线网状网,则能够使无线网状网的安全性问题得到改善,现有技术中尚未有将WAPI应用到无线网状网的应用方案出现。
发明内容
针对上述现有技术中存在的问题,本发明的目的在于提供一种基于WAPI的无线网状网的认证方法,以有效地改善无线网状网的安全性问题。
为达到上述目的,本发明采用以下技术方案:
本发明采用的第一个方案为:
一种基于WAPI的无线网状网的认证方法,包括步骤:
第一MAP向该第一MAP的网关MPP发送第一登记请求信息,所述第一登记请求信息包括所述第一MAP与所述网关MPP的地址信息;
所述网关MPP接收所述第一登记请求信息,向所述第一MAP发送第一鉴别激活信息;
所述第一MAP接收所述第一鉴别激活信息,向所述网关MPP发送第一接入鉴别请求;
所述网关MPP接收所述第一接入鉴别请求,向鉴别认证服务器发送第一证书鉴别请求;
所述鉴别认证服务器接收所述第一证书鉴别请求,构造第一证书鉴别响应,并向所述网关MPP发送所述第一证书鉴别响应;
所述网关MPP接收所述第一证书鉴别响应,根据所述第一证书鉴别响应生成第一接入鉴别响应,并将所述第一接入鉴别响应向所述第一MAP发送;
所述网关MPP与所述第一MAP通过会话密钥协商建立共享密钥。
根据本发明的该方案,其可由鉴别认证服务器统一对站点、MAP与MPP进行证书鉴别,而无需对无线网状网中的MP节点颁发证书以及进行证书的鉴别,实现集中式管理,在进行证书认证过程中,可以是只进行MAP、MPP与鉴别认证服务器三者之间、以及站点、MAP与鉴别认证服务器三者之间的认证过程,在MAP与其网关MPP以及站点与MAP通过会话密钥协商建立了共享密钥之后,即可以根据该共享密钥完成数据通信过程,实现通信过程的安全性,从而将WAPI与无线网状网进行有机的结合。此外,在本发明的该方案中,由于可以只在MAP与网关MPP之间、以及站点与MAP之间建立认证过程、建立共享密钥,而可以不对无线网状网中的MP节点进行认证,从而在进行通信传输时,仅在经过站点、MAP以及MPP时进行加解密,无论经过多少MP,都可以不用进行加解密,加密和解密的次数较少,由加解密所引起的传输延时少,认证速度快。
本发明采用的第二个方案为:
一种基于WAPI的无线网状网的认证方法,包括步骤:
站点或该站点关联的MAP向该站点的网关MPP发送登记请求信息,所述登记请求信息包括所述站点与所述网关MPP的地址信息;
所述网关MPP接收所述登记请求信息,向所述站点发送鉴别激活信息;
所述站点接收所述鉴别激活信息,向所述网关MPP发送接入鉴别请求;
所述网关MPP接收所述接入鉴别请求,向鉴别认证服务器发送证书鉴别请求;
所述鉴别认证服务器接收所述证书鉴别请求,构造证书鉴别响应,并将该证书鉴别响应向所述网关MPP发送;
所述网关MPP接收所述证书鉴别响应,根据所述证书鉴别响应生成接入鉴别响应消息,并将所述接入鉴别响应向所述站点发送;
所述网关MPP与所述站点通过会话密钥协商建立共享密钥。
根据本发明的该方案,其可由鉴别认证服务器统一对站点与MPP进行证书鉴别,而无需对无线网状网中的MAP、MP节点颁发证书以及进行证书的鉴别,实现集中式管理,在进行证书认证过程中,可以是只进行站点、MPP与鉴别认证服务器三者之间的认证过程,在站点与其网关MPP通过会话密钥协商建立了共享密钥之后,即可以根据该共享密钥完成数据通信过程,实现通信过程的安全性,从而将WAPI与无线网状网进行有机的结合。此外,在本发明的该方案中,可以只在站点与其网关MPP之间建立认证过程、建立共享密钥,而可以不对无线网状网中的MAP节点与MP节点进行认证,从而在进行通信传输时,仅在经过站点以及MPP时进行加解密,在经过MAP以及无论经过多少MP时,都可以不用进行加解密,加密和解密的次数少,由加解密所引起的传输延时少,认证速度快。
附图说明
图1是无线网状网的网络结构示意图;
图2是本发明方法实施例一的流程示意图;
图3是应用于本发明方法中的无线网状网其中一种示例图;
图4是本发明方法实施例二的流程示意图;
图5是本发明方法是实例二的另一个流程示意图。
具体实施方式
以下针对本发明的基于WAPI的无线网状网的认证方法的各具体实施例进行详细描述,在本发明所应用的方法中,鉴别认证服务器AS与无线网状网的MPP通过有线方式连接。
实施例一:
参见图2所示,是本发明的基于WAPI的无线网状网的认证方法实施例一的流程示意图,在本实施例中,考虑到对接入站点的认证识别可以有效防止非法站点接入网络,且接入站点的网关MPP是与鉴别认证服务器直接相连的节点设备,对网关MPP的认证识别可以有效防止非法网关节点接入网络,而无线网状网中的MP节点以及MAP节点在整个的数据传输过程中实际上是进行数据的转发,因此,本实施例中仅针对在站点与MPP之间进行认证过程进行说明。
在本实施例中,是以预设MPP、MP以及MAP之间已经建立了链路的连接,并且已经形成了MAP到MPP的路由,鉴别认证服务器AS已经为各MPP、站点颁发了相应的证书,这些MPP、站点也各自安装好了由鉴别认证服务器AS颁发给他们的证书、且鉴别认证服务器AS处于有线网络中可以路由到的位置进行说明。
如图2所示,本实施例中的方法包括步骤:
步骤S101:站点向该站点的网关MPP发送登记请求信息,该登记请求信息可包括所述站点与所述网关MPP的地址信息,该地址信息可以是MAC地址,还可以包括安全策略、认证和加解密算法和相关参数等信息,例如,对于安全策略而言,是否支持WAPI等等,进入步骤S102;
步骤S102:网关MPP接收上述登记请求信息,该网关MPP向该站点发送鉴别激活信息,其中,该鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器的身份信息、该网关MPP的证书等信息,由于WAPI的鉴别过程采用椭圆曲线签名算法,因此,该鉴别激活信息中还可以包括ECDH(椭圆曲线)的参数,随后进入步骤S103;
步骤S103:站点接收上述网关MPP发送的上述鉴别激活信息,向该网关MPP发送接入鉴别请求,该接入鉴别请求中可包括接入鉴别请求标识信息、该站点的挑战、该站点的密钥数据、该站点的证书、该网关MPP的身份信息、ECDH参数以及该站点的签名等信息,进入步骤S104;
步骤S104:所述网关MPP接收上述接入鉴别请求,检查接入鉴别请求中的MPP的身份信息是否与自己一致、ECDH参数是否与鉴别激活信息中的一致、以及站点的签名是否正确等等,若有任意一个不符合,则丢弃该接入鉴别请求,若上述条件均符合,则该网关MPP向鉴别认证服务器发送证书鉴别请求,该证书鉴别请求中可包括地址索引、站点的挑战、网关MPP的挑战、站点的证书、该网关MPP的证书等信息,进入步骤S105;
步骤S105:鉴别认证服务器接收MPP发送的上述证书鉴别请求,对上述证书鉴别证书请求中的站点的证书、网关MPP证书进行验证,若无法对证书进行验证,则将验证结果置为不明确或者无法验证,若验证通过,根据验证结果构造证书鉴别响应,该证书鉴别响应中包括地址索引、站点证书验证结果、网关MPP证书验证结果等信息,并将该证书鉴别响应签名后向所述网关MPP发送,进入步骤S106;
步骤S106:所述网关MPP接收所述证书鉴别响应,检查该证书鉴别响应中的鉴别认证服务器AS的签名是否正确,若AS的签名不正确,则可将该证书鉴别响应予以丢弃,若AS的签名正确,根据AS对站点的证书验证结果,若站点的证书验证不成功,则网关MPP设定该站点的接入结果为不成功,若站点的证书验证成功,根据所述证书鉴别响应生成接入鉴别响应消息,其中,该接入鉴别响应消息中可包括接入鉴别响应标识、该站点的挑战、该站点的接入 结果、该站点的密钥数据、该站点的身份信息、该网关MPP的挑战、该网关MPP的密钥数据、该网关MPP的身份信息以及该网关MPP的签名等信息,并将所述接入鉴别响应向所述站点发送,进入步骤S107;
步骤S107:所述网关MPP与所述站点通过会话密钥协商建立共享密钥。
在上述认证过程完成后,在之后的通信过程中,该站点与其网关MPP通过该共享密钥进行通信。
其中,所述网关MPP与所述站点之间通过会话密钥协商建立的共享密钥可以是组播/站间密钥与单播密钥同时存在,当网关MPP与站点之间建立的共享密钥是单播密钥时,则上述步骤S107中通过会话密钥协商建立单播密钥的方式具体可以包括:
所述网关MPP向所述站点发送会话密钥请求消息,其中,该会话密钥请求消息中包括单播会话密钥请求标识、基密钥标识、单播会话密钥索引、以及地址索引、网关MPP的挑战等信息;
所述站点接收所述会话密钥请求消息,向所述网关MPP发送会话密钥响应消息,其中,该会话密钥响应消息中可以包括单播会话密钥响应标识、基密钥标识、单播会话密钥索引、地址索引、站点的挑战、网关MPP的挑战、站点选择的WAPI信息元素以及消息鉴别码等信息;
所述网关MPP接收所述会话密钥响应消息,向所述站点发送会话密钥确认消息,与所述站点建立单播密钥,其中,该会话密钥确认消息可以包括单播会话密钥确认标识、基密钥标识、单播会话密钥索引、地址索引、站点的挑战、网关MPP选择的WAPI信息元素以及消息鉴别码等信息。
在建立了单播密钥后,网关MPP与站点之间还可以建立组播/站间密钥,即使得网关MPP与站点之间同时建立单播密钥与组播/站间密钥,当二者之间建立组播/站间密钥时,上述步骤S107中通过会话密钥协商建立组播/站间密钥的方式具体可以包括:
所述网关MPP向所述站点发送组播/站间会话密钥通告消息,其中,该组 播/站间会话密钥通告消息中可包括组播/站间会话密钥通告消息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥索引、地址索引、数字序号、密钥通告标识、密钥数据以及消息鉴别码等信息;
所述站点接收所述组播/站间会话密钥通告消息,向所述网关MPP发送组播/站间会话密钥响应消息,与所述网关MPP建立组播/站间密钥,其中,该组播/站间会话密钥响应消息中可包括组播/站间会话密钥响应消息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥索引、地址索引、密钥通告标识以及消息鉴别码等信息。
其中,在站点接收到由网关MPP发送的接入鉴别响应后,验证该接入鉴别响应中的站点的身份是否与自己相同、网关MPP的身份与自己发送接入鉴别请求时的身份是否相同、站点的挑战与自己在发送接入鉴别请求时所发送的挑战是否相同、站点的密钥数据是否与其发送鉴别接入请求时的密钥数据是否相同、以及网关MPP的签名是否正确等等,若有任何一个条件不符合,则丢弃该接入鉴别响应。
其中,在上述步骤中,站点向MPP发送登记请求信息的过程,实际上是预处理过程,即该站点期望与该MPP建立认证连接关系。
上述步骤中的证书鉴别以及通过会话密钥协商建立共享密钥的具体过程可与现有技术中的WAPI的方式相同,在此不予赘述。
参见图3所示,是应用于本发明方法中的无线网状网的一种示例图,假设在该网络中,MPP、MP以及MAP之间已经建立了链路的连接,并且已经形成了MAP到MPP的路由,各MPP、STA已经从鉴别认证服务器AS申请到相应的证书,这些MPP、STA也各自安装好了由鉴别认证服务器AS颁发给他们的证书,并假设MAP1的出口网关为MPP1,MAP2的出口网关为MPP2。下述说明中,以需要接入网络的站点为STA1、且STA1与MPP1之间建立的共享密钥为单播密钥进行说明,需要说明的是,这种说明并不用以限定STA1与MPP1之间只能建立单播密钥,在STA1与MPP1建立单播密钥的同时,还可以建立组播/站间密钥,使得STA1与MPP1之间单播密钥与组播/站间密钥同时存在。
根据图2中所示的方法,当STA1需要接入网络时,可通过下述方式进行:
首先,STA1接入MAP1完成关联后,该STA1或者与STA1关联的MAP1向网关节点MPP1发送登记请求信息,MPP1接收该登记请求信息,向该STA1发送鉴别激活信息,其中,该鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器AS的身份信息、该MPP1的证书等信息,还可以包括ECDH(椭圆曲线)的参数;
STA1接收到由MPP1发送的鉴别激活信息后,该STA1向MPP1发送接入鉴别请求,该接入鉴别请求中可包括接入鉴别请求标识信息、该STA1的挑战、该STA1的密钥数据、该STA1的证书、该MPP1的身份信息、ECDH参数以及该STA1的签名等信息;
MPP1接收上述接入鉴别请求后,检查接入鉴别请求中的MPP1的身份信息是否与自己一致、ECDH参数是否与鉴别激活信息中的一致、以及STA1的签名是否正确等等,若有任意一个不符合,则丢弃该接入鉴别请求分组,若上述条件均符合,则向鉴别认证服务器AS发送证书鉴别请求,该证书鉴别请求中可包括地址索引、STA1的挑战、MPP1的挑战、STA1的证书、MPP1的证书等信息;
鉴别认证服务器AS接收上述证书鉴别请求,对STA1以及MPP1的证书进行验证,若无法对证书进行验证,则将验证结果置为不明确或者无法验证,若验证通过,根据验证结果构造证书鉴别响应,该证书鉴别响应中包括地址索引、STA1证书验证结果、MPP1证书验证结果等信息,并将该证书鉴别响应签名后向MPP1发送;
MPP1接收证书鉴别响应后,检查该证书鉴别响应中的鉴别认证服务器AS的签名是否正确,若鉴别认证服务器AS的签名不正确,则可将该证书鉴别响应予以丢弃,若鉴别认证服务器AS的签名正确,根据鉴别认证服务器AS对STA1的证书验证结果,若STA1的证书验证不成功,则MPP1设定STA1的接入结果为不成功,若STA1的证书验证成功,根据所述证书鉴别响应生成接入鉴别响应消息,其中,该接入鉴别响应消息中可包括接入鉴别响应标识、该STA1 的挑战、该STA1的接入结果、该STA1的密钥数据、该STA1的身份信息、该MPP1的挑战、该MPP1的密钥数据、该MPP1的身份信息以及该MPP1的签名等信息,并将所述接入鉴别响应向STA1发送;
随后,STA1接收到接入鉴别响应后,MPP1向STA1发送会话密钥请求消息,STA1向MPP1发送会话密钥响应消息,MPP1接收了该会话密钥响应消息后,向STA1发送会话密钥确认消息,与STA1建立共享密钥。
根据本发明的方案,仅需在站点与网关节点MPP之间建立共享密钥,在站点与网关节点MPP通过密钥协商建立了共享密钥之后,即可以根据该共享密钥完成数据通信过程,实现二者之间通信过程的安全性。此外,由于只在接入站点与网关MPP之间建立共享密钥、在二者之间建立认证过程,而可以不对其他的MAP、MP等节点进行认证,从而在进行通信传输时,可以仅在站点以及网关MPP处进行加密和解密的过程,由加解密所引起的传输延时少,认证速度快。
同时,由于仅在站点与网关节点MPP之间建立共享密钥,因此,数据传输仅在经过该站点或者MPP时才需要进行一次加密和解密的过程,即使加密和解密过程存在一定的延时,随着网络的增大,通过节点的转发过程可能会造成延时的增加,但是加密和解密的过程所造成的延时不会有明显变化,因此,本发明中的方法可适用于大型的无线网状网。
在上述示例中,是以STA1的出口网关为MPP1进行说明,当网络中有多个MPP时,或者该STA1的默认出口网关MPP发生了改变或存在多个出口网关时,则需要重新进行认证和建立共享密钥,而在STA1的出口网关未发生改变、仅仅是切换到了新的MAP时,由于STA与MAP之间并不需要建立共享密钥,不需要进行STA、MAP、鉴别认证服务器三者之间的三元认证过程,因此,可以不用进行重新认证过程。
实施例二:
参见图4、图5所示,是本发明基于WAPI的无线网状网的认证方法实施例二的流程示意图,在该实施例中,考虑到对站点的接入节点MAP的认证识 别可以有效防止非法接入节点MAP接入网络,窃取站点的机密,因此,在本实施例中,相对于上述实施例一而言,增加了对MAP的认证过程,具体是进行MAP、MPP与鉴别认证服务器AS三者之间、以及站点、MAP与鉴别认证服务器AS三者之间的认证过程。
如图4所示,是在MAP、MPP与鉴别认证服务器AS之间进行认证的流程示意图,其具体包括步骤:
步骤201:MAP向该MAP的网关MPP发送登记请求信息,该登记请求信息可包括所述MAP、以及所述网关MPP的地址信息,该地址信息可以是MAC地址,还可以包括安全策略、认证和加解密算法和相关参数等信息,例如,对于安全策略而言,是否支持WAPI等等,进入步骤S202;
步骤S202:网关MPP接收上述登记请求信息,向该MAP发送鉴别激活信息,其中,该鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器AS的身份信息、该网关MPP的证书等信息,由于WAPI的鉴别过程采用椭圆曲线签名算法,因此,该鉴别激活信息中还可以包括ECDH(椭圆曲线)的参数,随后进入步骤S203;
步骤S203:MAP接收上述网关MPP发送的上述鉴别激活信息,向该网关MPP发送接入鉴别请求,该接入鉴别请求中可包括接入鉴别请求标识信息、该MAP的挑战、该MAP的密钥数据、该网关MPP的身份信息、该MAP的证书、ECDH参数以及该MAP的签名等信息,进入步骤S204;
步骤S204:所述网关MPP接收上述接入鉴别请求,检查接入鉴别请求中的MPP的身份信息是否与自己一致、ECDH参数是否与鉴别激活信息中的一致、以及MAP的签名是否正确等,若有任意一个不符合,则丢弃该接入鉴别请求,若上述条件均符合,则该网关MPP向鉴别认证服务器AS发送证书鉴别请求,该证书鉴别请求中可包括地址索引、MAP挑战、网关MPP挑战、MAP的证书、网关MPP的证书,进入步骤S205;
步骤S205:鉴别认证服务器接收MPP发送的上述证书鉴别请求,对上述证书鉴别证书请求中的MAP证书、网关MPP证书进行验证,若无法对证书进 行验证,则将验证结果置为不明确或者无法验证,若验证通过,根据验证结果构造证书鉴别响应,该证书鉴别响应中包括地址索引、MAP的挑战、网关MPP的挑战、MAP证书验证结果、网关MPP证书验证结果等信息,并将该证书鉴别响应签名后向所述网关MPP发送,进入步骤S206;
步骤S206:网关MPP接收所述证书鉴别响应,检查该证书鉴别响应中的鉴别认证服务器AS的签名是否正确,若鉴别认证服务器AS的签名不正确,则可将该证书鉴别响应予以丢弃,若鉴别认证服务器AS的签名正确,根据鉴别认证服务器AS对MAP的证书验证结果,若MAP的证书验证不成功,则MPP设定MAP的接入结果为不成功,若MAP的证书验证成功,根据证书鉴别响应生成接入鉴别响应消息后,将该接入鉴别响应向MAP发送,其中,该接入鉴别响应消息中可包括接入鉴别响应标识、该MAP的挑战、该MAP的接入结果、该MAP的密钥数据、该MAP的身份信息、该网关MPP的挑战、该网关MPP的密钥数据、该网关MPP的身份信息以及该网关MPP的签名等信息,进入步骤S207;
步骤S207:所述网关MPP与MAP通过会话密钥协商建立共享密钥。
在上述认证过程完成后,在之后的通信过程中,该MAP与其网关MPP通过该共享密钥进行通信。
其中,上述步骤S207中所述网关MPP与MAP之间通过会话密钥协商建立的共享密钥可以仅仅是建立单播密钥,也可是在建立单播密钥的同时还建立组播/站间密钥,当网关MPP与MAP之间建立的共享密钥是单播密钥时,则上述通过会话密钥协商建立单播密钥的方式具体可以包括:
所述网关MPP向所述MAP发送会话密钥请求消息,其中,该会话密钥请求消息中可以包括单播会话密钥请求标识、基密钥标识、单播会话密钥索引、以及地址索引、网关MPP的挑战等信息;
所述MAP接收所述会话密钥请求消息,向所述网关MPP发送会话密钥响应消息,其中,该会话密钥响应消息中可以包括单播会话密钥响应标识、基密钥标识、单播会话密钥索引、地址索引、站点的挑战、网关MPP的挑战、MAP 选择的WAPI信息元素以及消息鉴别码等信息;
所述网关MPP接收所述会话密钥响应消息,向所述MAP发送会话密钥确认消息,与所述MAP建立单播密钥,其中,该会话密钥确认消息可以包括单播会话密钥确认标识、基密钥标识、单播会话密钥索引、地址索引、MAP的挑战、网关MPP选择的WAPI信息元素以及消息鉴别码等信息。
在建立了单播密钥后,根据应用需要,还可以在网关MPP与MAP之间可以建立组播/站间密钥,即使得网关MPP与MAP之间在建立单播密钥的同时还建立组播/站间密钥,当二者之间建立组播/站间密钥时,通过会话密钥协商建立组播/站间密钥的方式具体可以包括:
所述网关MPP向所述MAP发送组播/站间会话密钥通告消息,其中,该组播/站间会话密钥通告消息中可包括组播/站间会话密钥通告消息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥索引、地址索引、数字序号、密钥通告标识、密钥数据以及消息鉴别码等信息;
所述MAP接收所述组播/站间会话密钥通告消息,向所述网关MPP发送组播/站间会话密钥响应消息,与所述网关MPP建立组播/站间密钥,其中,该组播/站间会话密钥响应消息中可包括组播/站间会话密钥响应消息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥索引、地址索引、密钥通告标识以及消息鉴别码等信息。
其中,在MAP接收到由网关MPP发送的接入鉴别响应后,验证该接入鉴别响应中的MAP的身份是否与自己相同、网关MPP的身份与自己发送接入鉴别请求时的身份是否相同、MAP的挑战与自己发送的接入鉴别请求中的是否相同、MAP的密钥数据是否与自己发送的接入鉴别请求中的相同以及网关MPP的签名是否正确等等,若有任何一个条件不符合,则丢弃该接入鉴别响应。
其中,在上述步骤中,MAP向MPP发送登记请求信息的过程,实际上是预处理过程,即该MAP期望与该MPP建立认证连接关系。
上述步骤中的证书鉴别以及通过会话密钥协商建立共享密钥的过程的具体过程可与现有技术中的WAPI的方式相同,在此不予赘述。
此外,在上述说明中,是以预设MAP与MPP之间经由MP进行连接进行说明,在此情况下,由于MAP与MPP之间的通信过程是由节点MP进行转发,因此,在MPP向MAP发送鉴别激活信息之前,MAP需要向MPP发送登记请求信息,实际上,在某些无线网状网的网络中,节点MAP与MPP之间很可能是直接相连接,此时,MAP可不向MPP发送登记请求信息,而是与MPP完成关联后,由MPP向MAP发送鉴别激活信息。其中,MAP与MPP之间完成关联的过程可与现有技术中的相同,具体可以是:
MAP向MPP发送探询请求,MPP接收该探询请求后,向该MAP发送探询响应,随后,MAP向MPP发送链路验证请求,MPP接收后向MAP发送链路验证响应,再由MAP向MPP发送关联请求,MPP接收后向MAP发送关联响应,完成关联过程。
参见图5所示,是本发明基于WAPI的无线网状网的认证方法实施例三的流程示意图,本实施例在上述实施例二的基础上针对站点与MAP之间的认证过程进行说明。
如图5所示,是在站点、MAP与鉴别认证服务器AS之间进行认证的流程示意图,其具体包括步骤:
步骤301:站点跟某个已接入网络的MAP完成关联,进入步骤S302;
步骤S302:MAP向该站点发送鉴别激活信息,其中,该鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器AS的身份信息、该MAP的证书等信息,由于WAPI的鉴别过程采用椭圆曲线签名算法,因此,该鉴别激活信息中还可以包括ECDH(椭圆曲线)的参数,随后进入步骤S303;
步骤S303:站点接收上述MAP发送的鉴别激活信息,向该MAP发送接入鉴别请求,该接入鉴别请求中可包括接入鉴别请求标识信息、该站点的挑战、该站点的密钥数据、该MAP的身份信息、该站点的证书、ECDH参数以及该站点的签名等信息,进入步骤S304;
步骤S304:MAP接收上述接入鉴别请求,检查接入鉴别请求中的MAP的身份信息是否与自己一致、ECDH参数是否与鉴别激活信息中的一致、以及站 点的签名是否正确等等,若有任意一个不符合,则丢弃该接入鉴别请求,若上述条件均符合,则该MAP向鉴别认证服务器AS发送证书鉴别请求,该证书鉴别请求中可包括地址索引、站点的挑战、MAP的挑战、MAP的证书、站点的证书等信息,进入步骤S305;
步骤S305:鉴别认证服务器AS接收MAP发送的上述证书鉴别请求,对上述证书鉴别证书请求中的MAP证书、站点的证书进行验证,若无法对证书进行验证,则将验证结果置为不明确或者无法验证,若验证通过,根据验证结果构造证书鉴别响应,该证书鉴别响应中包括地址索引、MAP证书验证结果、站点证书的验证结果等信息,并将该证书鉴别响应签名后向所述MAP发送,进入步骤S306;
步骤S306:MAP接收所述证书鉴别响应,检查该证书鉴别响应中的鉴别认证服务器AS的签名是否正确,若鉴别认证服务器AS的签名不正确,则可将该证书鉴别响应予以丢弃,若鉴别认证服务器AS的签名正确,根据鉴别认证服务器AS对站点的证书验证结果,若站点的证书验证不成功,则MAP设定该站点的接入结果为不成功,若站点的证书验证成功,根据证书鉴别响应生成接入鉴别响应消息后,将该接入鉴别响应向站点发送,其中,该接入鉴别响应消息中可包括接入鉴别响应标识、该站点的挑战、该站点的接入结果、该站点的身份信息、该站点的密钥数据、该MAP的挑战、该MAP的密钥数据、该MAP的身份信息以及该MAP的签名等信息,进入步骤S307;
步骤S307:所述MAP与站点通过会话密钥协商建立共享密钥。
在上述认证过程完成后,在之后的通信过程中,该站点跟与其连接的MAP通过该共享密钥进行通信。
其中,上述MAP与所述站点之间通过会话密钥协商建立的共享密钥可以是组播/站间密钥与单播密钥同时存在,当MAP与站点之间建立的共享密钥是单播密钥时,则上述通过会话密钥协商建立单播密钥的方式具体可以包括:
所述MAP向所述站点发送会话密钥请求消息,其中,该会话密钥请求消息中包括单播会话密钥请求标识、基密钥标识、单播会话密钥索引、以及地址 索引、MAP的挑战等信息;
所述站点接收所述会话密钥请求消息,向所述MAP发送会话密钥响应消息,其中,该会话密钥响应消息中可以包括单播会话密钥响应标识、基密钥标识、单播会话密钥索引、地址索引、站点的挑战、MAP的挑战、站点选择的WAPI信息元素以及消息鉴别码等信息;
所述MAP接收所述会话密钥响应消息,向所述站点发送会话密钥确认消息,与所述站点建立单播密钥,其中,该会话密钥确认消息可以包括单播会话密钥确认标识、基密钥标识、单播会话密钥索引、地址索引、站点的挑战、该MAP选择的WAPI信息元素以及消息鉴别码等信息。
在建立了单播密钥后,MAP与站点之间还可以建立组播/站间密钥,即使得MAP与站点之间在建立了单播密钥的同时还建立组播/站间密钥,当二者之间建立组播/站间密钥时,上述通过会话密钥协商建立组播/站间密钥的方式具体可以包括:
所述MAP向所述站点发送组播/站间会话密钥通告消息,其中,该组播/站间会话密钥通告消息中可包括组播/站间会话密钥通告消息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥索引、地址索引、数字序号、密钥通告标识、密钥数据以及消息鉴别码等信息;
所述站点接收所述组播/站间会话密钥通告消息,向所述MAP发送组播/站间会话密钥响应消息,与所述MAP建立组播/站间共享密钥,其中,该组播/站间会话密钥响应消息中可包括组播/站间会话密钥响应消息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥索引、地址索引、密钥通告标识以及消息鉴别码等信息。
其中,在站点接收到由MAP发送的接入鉴别响应后,验证该接入鉴别响应中的站点的身份是否与自己相同、MAP的身份与自己发送接入鉴别请求时的身份是否相同、站点的挑战与自己发送的接入鉴别请求中的是否相同、站点的密钥数据与自己发送的接入鉴别请求中的是否相同、以及MAP的签名是否正确等等,若有任何一个条件不符合,则可将该接入鉴别响应予以丢弃。
其中,站点与MAP之间完成关联的过程可与现有技术中的相同,具体可以是:站点向MAP发送探询请求,MAP接收该探询请求后,向该站点发送探询响应,随后,站点向该MAP发送链路验证请求,MAP接收后向该站点返回发送链路验证响应,再由站点向MAP发送关联请求,MAP接收后向站点发送关联响应,完成关联过程。
上述步骤中的证书鉴别以及通过会话密钥协商建立共享密钥的具体过程可与现有技术中的WAPI的方式相同,在此不予赘述。
根据本实施例中的方案,仅需在站点与MAP之间、以及MAP与网关节点MPP之间建立共享密钥,在站点与MAP、以及MAP与MPP通过密钥协商建立了共享密钥之后,即可以根据共享密钥完成数据通信过程,实现通信过程的安全性。此外,由于可以不对其他的MP等节点进行认证,从而在进行通信传输时,可以仅在站点、MAP以及网关MPP处进行加密和解密的过程,由加解密过程所引起的传输延时少,认证速度快。
同时,由于数据传输仅在经过该站点、MAP或者MPP时才需要进行一次加密和解密的过程,即使加密和解密过程存在一定的延时,随着网络的增大,通过节点的转发过程可能会造成延时的增加,但是加密和解密的过程所造成的延时不会有明显变化,因此,本发明中的方法可适用于大型的无线网状网。
针对上述实施例二中的实施方式,以下以一个具体的示例进行说明。参见图3所示,是应用于本发明方法中的无线网状网其中一种示例图,假设在该网络中,MPP、MP以及MAP之间已经建立了链路的连接,并且已经形成了MAP到MPP的路由,各MPP、MAP、站点已经从鉴别认证服务器AS申请到了相应的证书,这些MPP、MAP、站点也各自安装好了由鉴别认证服务器AS颁发给他们的证书,并假设站点MAP1的出口网关为MPP1,MAP2的出口网关为MP2。其中,在下述示例说明中,以站点为STA1、且MAP与MPP之间、以及STA与MAP之间建立单播密钥的过程进行说明,需要说明的是,这种说明并不用以限定MAP与MPP之间、STA与MAP节点之间只能建立单播密钥,MAP与MPP之间可以仅仅只是建立单播密钥,也可以在建立单播密钥之后还 建立组播/站间密钥,STA与MAP之间可以在建立单播密钥之后还建立组播/站间密钥,使得单播密钥与组播/站间密钥同时存在。
根据上述实施例中的方法,当MAP1需要接入网络进行认证时,可通过下述方式进行:
首先,MAP1向MPP1发送了登记请求信息,进行登记,,该登记请求信息可包括MAP1、以及MPP1的地址信息,该地址信息可以是MAC地址,还可以包括安全策略、认证和加解密算法和相关参数等信息,例如,对于安全策略而言,是否支持WAPI等等;
MPP1向该MAP1发送鉴别激活信息,其中,该鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器AS的身份信息、该MPP1的证书等信息,还可以包括ECDH(椭圆曲线)的参数;
MAP1接收到由MPP1发送的鉴别激活信息后,该MAP1向MPP1接入鉴别请求,该接入鉴别请求中可包括接入鉴别请求标识信息、该MAP1的挑战、该MAP1的密钥数据、该MPP1的身份信息、该MAP1的证书、ECDH参数以及该MAP1的签名等信息;
MPP1接收上述接入鉴别请求后,检查接入鉴别请求中的MPP1的身份信息是否与自己一致、ECDH参数是否与鉴别激活信息中的一致、以及MAP1的签名是否正确等等,若有任意一个不符合,则丢弃该接入鉴别请求,若上述条件均符合,则该MPP1向鉴别认证服务器AS发送证书鉴别请求,该证书鉴别请求中可包括地址索引、MAP1的挑战、MPP1的挑战、MAP1的证书、MPP1的证书等信息,由鉴别认证服务器AS对MAP1以及MPP1的证书进行验证;
鉴别认证服务器AS接收MPP1发送的证书鉴别请求,对证书鉴别证书请求中的MAP1证书、MPP1的证书进行验证,若无法对证书进行验证,则将验证结果置为不明确或者无法验证,若验证通过,根据验证结果构造证书鉴别响应,该证书鉴别响应中包括地址索引、MAP1证书验证结果、MPP1证书的验证结果等信息,并将该证书鉴别响应签名后向MPP1发送;
MPP1接收证书鉴别响应后,检查该证书鉴别响应中的鉴别认证服务器AS 的签名是否正确,若鉴别认证服务器AS的签名不正确,则可将该证书鉴别响应予以丢弃,若鉴别认证服务器AS的签名正确,根据鉴别认证服务器AS对MAP1的证书验证结果,若MAP1的证书验证不成功,则MPP1设定该MAP1的接入结果为不成功,若MAP1的证书验证成功,根据证书鉴别响应生成接入鉴别响应消息后,将该接入鉴别响应向MAP1发送,其中,该接入鉴别响应消息中可包括接入鉴别响应标识、该MAP1的挑战、该MAP1的接入结果、该MAP1的密钥数据、该MAP1的身份信息、该MPP1的挑战、该MPP1的密钥数据、该MPP1的身份信息以及该MPP1的签名等信息;
随后,MPP1向MAP1发送会话密钥请求消息,MAP1接收后向该MPP1发送会话密钥响应消息,MPP1接收该会话密钥响应消息后,向MAP1发送会话密钥确认消息,与MAP1建立共享密钥。
其中,在MAP1接收到由MPP1发送的接入鉴别响应后,验证该接入鉴别响应中的MAP1的身份是否与自己相同、该MPP1的身份与自己发送接入鉴别请求时的身份是否相同、该MAP1的挑战与自己发送的接入鉴别请求中的是否相同、该MAP1的密钥数据是否与自己发送的接入鉴别请求中的相同、以及该MPP1的签名是否正确等等,若有任何一个条件不符合,则丢弃该接入鉴别响应。
随后,站点STA1与MAP1完成关联后,MAP1向该STA1发送鉴别激活信息,其中,该鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器AS的身份信息、该MAP1的证书等信息,还可以包括ECDH(椭圆曲线)的参数;
STA1接收到由MAP1发送的鉴别激活信息后,该STA1向MAP1发送接入鉴别请求,该接入鉴别请求中可包括接入鉴别请求标识信息、该STA1的挑战、该STA1的密钥数据、该MAP1的身份信息、该STA1的证书、ECDH参数以及该STA1的签名等信息;
MAP1接收上述接入鉴别请求后,检查接入鉴别请求中的MAP1的身份信息是否与自己一致、ECDH参数是否与鉴别激活信息中的一致、以及STA1的 签名是否正确等等,若有任意一个不符合,则丢弃该接入鉴别请求,若上述条件均符合,则该MAP1向鉴别认证服务器AS发送证书鉴别请求,该证书鉴别请求中可包括地址索引、STA1的挑战、MAP1的挑战、STA1的证书、MAP1的证书等信息,由鉴别认证服务器AS对STA1以及MAP1的证书进行验证;
鉴别认证服务器AS接收MAP1发送的证书鉴别请求,对证书鉴别请求中的STA1证书、MAP1的证书进行验证,若无法对证书进行验证,则将验证结果置为不明确或者无法验证,若验证通过,根据验证结果构造证书鉴别响应,该证书鉴别响应中包括地址索引、STA1证书验证结果、MAP1证书的验证结果等信息,并将该证书鉴别响应签名后向MAP1发送;
MAP1接收证书鉴别响应后,检查该证书鉴别响应中的鉴别认证服务器AS的签名是否正确,若鉴别认证服务器AS的签名不正确,则可将该证书鉴别响应予以丢弃,若鉴别认证服务器AS的签名正确,根据鉴别认证服务器AS对STA1的证书验证结果,若STA1的证书验证不成功,则MAP1设定该STA1的接入结果为不成功,若STA1的证书验证成功,根据证书鉴别响应生成接入鉴别响应消息后,将该接入鉴别响应向STA1发送,其中,该接入鉴别响应消息中可包括接入鉴别响应标识、该STA1的挑战、该STA1的接入结果、该STA1的密钥数据、该STA1的身份信息、该MAP1的挑战、该MAP1的密钥数据、该MAP1的身份信息以及该MAP1的签名等信息;
随后,MAP1向STA1发送会话密钥请求消息,STA1接收后向MAP1发送会话密钥响应消息,MAP1接收该会话密钥响应消息后向STA1发送会话密钥确认消息,与STA1建立共享密钥。
其中,在STA1接收到由MAP1发送的接入鉴别响应后,验证该接入鉴别响应中的STA1的身份是否与自己相同、该MAP1的身份与自己发送接入鉴别请求时的身份是否相同、该STA1的挑战与自己发送的接入鉴别请求中的是否相同、该STA1的密钥数据与自己发送的接入鉴别请求中的是否相同、以及该MAP1的签名是否正确等等,若有任何一个条件不符合,则丢弃该接入鉴别响应。
其中,在上述示例中,是以STA1与MAP1的出口网关为MPP1进行说明,当网络中有多个MPP时,如果该STA1或者MAP1的出口网关节点MPP发生了改变,则需要重新进行认证。
另外,在STA1、MAP1的网关均为MPP1的情况下,上述说明仅针对STA1接入MAP1的认证过程进行了说明,当STA1漫游到了MAP2时,由于与该STA1连接的接入节点发生了变化,则需要重新对STA1与MAP2之间进行认证并建立共享密钥。
其中,在上述示例说明中,是在MAP完成了认证过程、并与其出口网关MPP建立了共享密钥之后再接受站点的认证接入过程进行说明,根据应用需要的不同,可以是在组网完成后向站点发送鉴别激活信息,即所有的MAP均已与各自的出口网关MPP建立了共享密钥后向站点发送鉴别激活信息,也可以是在组网尚未完全完成时,即只要有一个MAP已与其出口网关MPP建立了共享密钥后,该MAP即可以开始向站点发送鉴别激活信息,根据应用需要的不同可以选用不同的方式。
根据上述本发明的方案,由于仅在站点与网关节点MPP之间建立共享密钥,或者仅在站点与MAP之间、MAP与MPP之间建立了共享密钥,而并不需要针对节点MP进行认证,在数据传输时,无论经过多少个MP的转发,都只需要在站点与MPP处进行加密和解密的过程,或者是仅在站点、MAP和MPP处进行加密和解密的过程,因此,即使加密和解密过程存在一定的延时,由加解密过程所造成的延时也不会造成明显的影响,在网络规模发生变化的情况下,由加解密过程所造成的延时也不会发生明显变化,因此可适用于大型的无线网状网网络。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (13)
1.一种基于WAPI的无线网状网的认证方法,其特征在于,包括步骤:
第一MAP向该第一MAP的网关MPP发送第一登记请求信息,所述第一登记请求信息包括所述第一MAP与所述网关MPP的地址信息;
所述网关MPP接收所述第一登记请求信息,向所述第一MAP发送第一鉴别激活信息;
所述第一MAP接收所述第一鉴别激活信息,向所述网关MPP发送第一接入鉴别请求;
所述网关MPP接收所述第一接入鉴别请求,向鉴别认证服务器发送第一证书鉴别请求;
所述鉴别认证服务器接收所述第一证书鉴别请求,构造第一证书鉴别响应,并向所述网关MPP发送所述第一证书鉴别响应;
所述网关MPP接收所述第一证书鉴别响应,根据所述第一证书鉴别响应生成第一接入鉴别响应,并将所述第一接入鉴别响应向所述第一MAP发送;
所述网关MPP与所述第一MAP通过会话密钥协商建立共享密钥。
2.根据权利要求1所述的基于WAPI的无线网状网的认证方法,其特征在于,所述网关MPP与所述第一MAP通过会话密钥协商建立共享密钥具体包括:
所述网关MPP向所述第一MAP发送第一会话密钥请求消息;
所述第一MAP接收所述第一会话密钥请求消息,向所述网关MPP发送第一会话密钥响应消息;
所述网关MPP接收所述第一会话密钥响应消息,向所述第一MAP发送第一会话密钥确认消息,与所述第一MAP建立单播密钥。
3.根据权利要求2所述的基于WAPI的无线网状网的认证方法,其特征在于,所述网关MPP与所述第一MAP通过会话密钥协商建立共享密钥的方式还包括:
所述网关MPP向所述第一MAP发送第二会话密钥通告消息;
所述第一MAP接收所述第二会话密钥通告消息,向所述网关MPP发送第二会话密钥响应消息,与所述网关MPP建立组播/站间密钥。
4.根据权利要求1或2或3所述的基于WAPI的无线网状网的认证方法,其特征在于,还包括:
第二MAP向与所述第二MAP完成关联的站点发送第二鉴别激活信息;
所述站点接收所述第二鉴别激活信息,向所述第二MAP发送第二接入鉴别请求;
所述第二MAP接收所述第二接入鉴别请求,向所述鉴别认证服务器发送第二证书鉴别请求;
所述鉴别认证服务器接收所述第二证书鉴别请求,构造第二证书鉴别响应,并将该第二证书鉴别响应向所述第二MAP发送;
所述第二MAP接收所述第二证书鉴别响应,根据所述第二证书鉴别响应生成第二接入鉴别响应,并将所述第二接入鉴别响应向所述站点发送;
所述第二MAP与所述站点通过会话密钥协商建立共享密钥。
5.根据权利要求4所述的基于WAPI的无线网状网的认证方法,其特征在于,所述第二MAP与所述站点通过会话密钥协商建立共享密钥的方式包括:
所述第二MAP向所述站点发送第三会话密钥请求消息;
所述站点接收所述第三会话密钥请求消息,向所述第二MAP发送第三会话密钥响应消息;
所述第二MAP接收所述第三会话密钥响应消息,向所述站点发送第三会话密钥确认消息,与所述站点建立单播密钥。
6.根据权利要求5所述的基于WAPI的无线网状网的认证方法,其特征在于,所述第二MAP与所述站点通过会话密钥协商建立共享密钥的方式还包括:
所述第二MAP向所述站点发送第四会话密钥通告消息;
所述站点接收所述第四会话密钥通告消息,向所述第二MAP发送第四会话密钥响应消息,与所述第二MAP建立组播/站间密钥。
7.根据权利要求4或5或6所述的基于WAPI的无线网状网的认证方法,其特征在于,
在任意一个MAP均已与各自的网关MPP建立共享密钥后,再向所述站点发送第二鉴别激活信息;
或者
在有至少一个MAP已与该MAP的网关MPP建立共享密钥时,开始向所述站点发送第二鉴别激活信息。
8.根据权利要求1至6任意一项所述的基于WAPI的无线网状网的认证方法,其特征在于,
当所述站点或者所述第一MAP更换默认网关MPP时,分别与更新后的网关MPP重新进行上述认证过程;
当所述站点或者所述第一MAP存在多个网关MPP时,分别与各网关MPP进行上述认证过程。
9.根据权利要求4或5或6所述的基于WAPI的无线网状网的认证方法,其特征在于,当所述接入站点切换至新MAP时,所述接入站点与该新MAP重新进行上述认证过程。
10.一种基于WAPI的无线网状网的认证方法,其特征在于,包括步骤:
站点或该站点关联的MAP向该站点的网关MPP发送登记请求信息,所述登记请求信息包括所述站点与所述网关MPP的地址信息;
所述网关MPP接收所述登记请求信息,向所述站点发送鉴别激活信息;
所述站点接收所述鉴别激活信息,向所述网关MPP发送接入鉴别请求;
所述网关MPP接收所述接入鉴别请求,向鉴别认证服务器发送证书鉴别请 求;
所述鉴别认证服务器接收所述证书鉴别请求,构造证书鉴别响应,并将该证书鉴别响应向所述网关MPP发送;
所述网关MPP接收所述证书鉴别响应,根据所述证书鉴别响应生成接入鉴别响应消息,并将所述接入鉴别响应向所述站点发送;
所述网关MPP与所述站点通过会话密钥协商建立共享密钥。
11.根据权利要求10所述的基于WAPI的无线网状网的认证方法,其特征在于,所述网关MPP与所述站点通过会话密钥协商建立共享密钥的方式包括:
所述网关MPP向所述站点发送第一会话密钥请求消息;
所述站点接收所述第一会话密钥请求消息,向所述网关MPP发送第一会话密钥响应消息;
所述网关MPP接收所述第一会话密钥响应消息,向所述站点发送第一会话密钥确认消息,与所述站点建立单播密钥。
12.根据权利要求11所述的基于WAPI的无线网状网的认证方法,其特征在于,所述网关MPP与所述站点通过会话密钥协商建立共享密钥的方式还包括:
所述网关MPP向所述站点发送第二会话密钥通告消息;
所述站点接收所述第二会话密钥通告消息,向所述网关MPP发送第二会话密钥响应消息,与所述网关MPP建立组播/站间密钥。
13.根据权利要求10或11或12所述的基于WAPI的无线网状网的认证方法,其特征在于,
当所述站点更换默认网关MPP时,与更新后的网关MPP重新进行上述认证过程;
当所述站点具有多个网关MPP时,分别与各网关MPP进行上述认证过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810220005XA CN101442749B (zh) | 2008-12-15 | 2008-12-15 | 基于wapi的无线网状网的认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810220005XA CN101442749B (zh) | 2008-12-15 | 2008-12-15 | 基于wapi的无线网状网的认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101442749A CN101442749A (zh) | 2009-05-27 |
| CN101442749B true CN101442749B (zh) | 2011-12-28 |
Family
ID=40726957
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810220005XA Expired - Fee Related CN101442749B (zh) | 2008-12-15 | 2008-12-15 | 基于wapi的无线网状网的认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101442749B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631114B (zh) * | 2009-08-19 | 2011-09-21 | 西安西电捷通无线网络通信股份有限公司 | 一种基于公钥证书的身份鉴别方法及其系统 |
| CN102035797B (zh) * | 2009-09-29 | 2013-06-05 | 中兴通讯股份有限公司 | 一种基于wapi的媒体传输系统及方法 |
| CN101699894B (zh) * | 2009-11-10 | 2012-07-25 | 广州杰赛科技股份有限公司 | 在认证服务器集群中处理认证请求的方法和装置 |
| CN102421095B (zh) * | 2011-11-30 | 2014-04-02 | 广州杰赛科技股份有限公司 | 无线网状网的接入认证方法 |
| CN110831005B (zh) * | 2019-11-11 | 2023-07-11 | 深圳创维数字技术有限公司 | 一种Mesh网的设备添加方法、网关设备及存储介质 |
| CN111935718B (zh) * | 2020-10-09 | 2021-01-08 | 中科开创(广州)智能科技发展有限公司 | Wapi认证方法、装置、系统、设备和存储介质 |
| CN113612731A (zh) * | 2021-07-06 | 2021-11-05 | 湖南方心科技股份有限公司 | 宽带wapi多通道数据传输与随机数据加密通信设备 |
-
2008
- 2008-12-15 CN CN200810220005XA patent/CN101442749B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101442749A (zh) | 2009-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101222772B (zh) | 一种基于id的无线多跳网络认证接入方法 | |
| CN101232378B (zh) | 一种无线多跳网络的认证接入方法 | |
| CN103686709B (zh) | 一种无线网格网认证方法和系统 | |
| CN101222331B (zh) | 一种认证服务器及网状网中双向认证的方法及系统 | |
| CN101500229B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN101442749B (zh) | 基于wapi的无线网状网的认证方法 | |
| CN101375545B (zh) | 用于提供无线网状网的方法和设备 | |
| EP2063567B1 (en) | A network access authentication and authorization method and an authorization key updating method | |
| CN102090093B (zh) | 空口链路安全机制建立的方法、设备 | |
| CN101222325B (zh) | 一种基于id的无线多跳网络密钥管理方法 | |
| CN109644134A (zh) | 用于大型物联网组认证的系统和方法 | |
| CN101516090B (zh) | 网络认证通信方法及网状网络系统 | |
| CN101448262A (zh) | 基于wapi的无线网状网的认证方法 | |
| CN102421095B (zh) | 无线网状网的接入认证方法 | |
| MX2009002507A (es) | Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura. | |
| JP2008518566A (ja) | 無線ネットワーク用のセキュリティを提供するシステムおよび方法 | |
| CN101917272A (zh) | 一种邻居用户终端间保密通信方法及系统 | |
| CN102137401A (zh) | 无线局域网集中式802.1x认证方法及装置和系统 | |
| KR20140110051A (ko) | 인증을 위한 시스템 및 방법 | |
| CN101626370A (zh) | 节点间密钥的分配方法、系统及设备 | |
| US20100023752A1 (en) | Method and device for transmitting groupcast data in a wireless mesh communication network | |
| CN101394270B (zh) | 基于模块化路由的无线网状网络链路层加密方法 | |
| CN101635922B (zh) | 无线网状网络安全通信方法 | |
| CN101977378A (zh) | 信息传输方法、网络侧及中继节点 | |
| CN101527907A (zh) | 无线局域网接入认证方法及无线局域网系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111228 Termination date: 20201215 |